Süsteemide turvalisuse arendamine kasutades äriprotsesside modelleerimist

Abstract

Äriprotsesside arusaam ja modelleerimine on üks olulisematest aspektidesttänapäevases süsteemiarenduses. Infosüsteemide modeleerimiseks on loodud erinevaid käsitlusi ning äriprotsesside modeleerimisnotatsioon on üks nendest. On teada, et BPMN aitab äriprotsesse kirjeldada, modelleerida ja optimeerida. Keerulisem on mõista kuidas saab selle käsitluse raames juhtida äriprotsesside turvalisust ning analüüüsida infosüsteemi turvariske. See aspekt muutub kaasaegsetes infosüsteemides veel komplitseeritumaks, kuna turvatud süsteemi loomiseks peavad nii äriprotsessid kui ka selle turvalisuse küsimused olema vaadeldud parallellselt, see tähendab koostoimes. Käesoleva uurimistöö eesmärgiks on analüüsida BPMN ja infosüsteemi turvariskide juhtimise vastastikkust koosmõju. BPMN’i võtmeaspektide väljaselgitamiseks ja antud modelleerimissüsteemi turvanäitajate, riskide ja riskide juhtimise mõistmiseks on antud töös kasutatud struktureeritud lähenemist. Töös uuritakse kuidas modelleerija saab BPMN’i abil väljastada turvatud süsteemi komponente, riske või riskide juhtimist. Töös ühtlustatakse BPMN keele põhikonstruktsioonid ISSRM mudeli kontseptiga. Antud uurimistöös on BPMN-i käsitluse rakendausvõimalusi vaadeldud ühe internetikaupluse näitel. Meie uurimistöö pakkub infosüsteemi analüütikule või arhitektile võimalust mõista äriprotsesse ja turvakomponente ühe modelleerimiskeele abil. Analüüs on tehtud ainult esimese keele, Descriptive modelling, tasemel. Sellega avatakse uurijale võimalus tuua paralelle erinevate modeleerimiskeelte vahel, et uurida mustreid ISSRM perekonda kuuluvate mudelite loomises.

Business process modelling is one of the major aspects in the modern system development. Recently business process model and notation (BPMN) has become a standard technique to support this activity. Although BPMN is a good approach to understand business processes, there is a limited work to understand how it could deal with business security and security risk management. This is a problem, since both business processes and security concerns should be understood in parallel to support a development of the secure systems. In this paper we analyse BPMN with respect to the domain model of the IS security risk management (ISSRM). We apply a structured approach to understand key aspects of BPMN and how modeller could express secure assets, risks and risk treatment using BPMN. We align the main BPMN constructs with the key concepts of the ISSRM domain model. We show applicability of our approach on a running example related to the Internet store. Our proposal would allow system analysts to understand how to develop security requirements to secure important assets defined through business processes. In addition we open a possibility for the business and security model interoperability and the model transformation between several modelling approaches (if these both are aligned to the ISSRM domain model).